Kan jeg slet ikke installere Linux? #UEFI

Over de sidste to år har jeg fulgt en masse artikler på nettet om UEFI - dvs. erstatningen for den gamle BIOS. Så vidt jeg kan forstå det, så kommer nye laptops med Window-8 altid med UEFI, og så er der ikke nemt at lave f.eks. dual-boot med den eksisterende Windows-8 og en Linux-installation. Jeg står ligesom PHK for at skulle købe en laptop, og den skal have Linux ind asap :-)

Det virker som om Ubuntu 12.10 nu kan bootes under UEFI - selvsom det ikke er annonceret - Ubuntu-bruger skal læse med her Der er mere om Ubuntu her.

Jeg er bare ikke hooket på Ubuntu alene, og fra tid til anden vil jeg have f.eks. Fedora, Debian, eller andre Linux-varianter ind, og jeg gider IKKE smide håndklædet i ringen og bare bruge Windows og derfra boote Linux som virtuelle maskiner via Virtualbox eller VMware.

I som har købt laptop det seneste års tid - hvad katten har I gjort? I har sikkert også "nydt" fornøjelsen med præinstalleret Windows og UEFI. Jeg vil meget gerne have indspark på dette. Jeg vil jo bare kunne installere Linux....

Hvis I ser gode nye laptops UDEN Windows, så sig lige til. Jeg skal ikke bruge Windows til noget... ASUS har vist nogle på vej. Jeg kan også importere fra System 76 - men det bliver vist med US-keyboard.

/pto

Peter Tofts billede
Peter Toft er algoritme-designer hos Fingerprints Cards. Han har blogget om open source og Linux siden Version2's begyndelse. Blogger også jævnligt om andre sjove teknologi-områder.

Kommentarer (34)

Donald Axel

Jeg troede det var almindelig viden, at Dell er gået tilbage til Linux:

http://www.zdnet.com/dell-re-enters-high-end-linux-laptop-market-with-re...

Den er fra 25. Juni i år med opdatering. Men du kender vel allerede den løsning? Den er sikkert dyr.

UEFI: Jeg kunne ikke få en ScientificLinux til at installere nemt for et halvt årstid siden, man kan blive nødt til at gå via SysrescCD. Det har jeg faktisk ikke gjort endnu, men jeg har en maskine med GPT/UEFI-GUID som først blev installeret på mindre drives, og derefter kompilerede jeg nye util-linux og "gdisk", som er flink til at oplyse om problemer.

Jeg fandt en artikel om optimering af disk-speed på UEFI maskiner, men de andre i redaktionen syntes det var uinteressant (Debian kan bare det der med GPT/GUID sagde han - jeg har ikke checket).

mikkel meinike-nielsen

Jeg har (som sædvanlig) ikke noget egentligt relevant at sige til spørgsmålet andet end jeg slet ikke anede det her problem fandtes. Jeg har brugt det seneste år på at lege med android tablet og slet ikke overvejet at købe nogen ny laptop. Men det er da et orn'li nederen problem. Vil det sige at men ikke engang kan fyrer en live cd/usb-pin f. eks puppy linux i og boot et andet system der fra? Eller er det først selve installationen og oprettelsen af dual boot som ikke virker? Hvis man kan boote en usb-pin så ville jeg personligt nok kunne klare det meste af hvad jeg ville med en god ram-linux som gemmer opsætningen i en image-fil. Hilsen Mikkel

Martin Schlander

I som har købt laptop det seneste års tid - hvad katten har I gjort? [..] Jeg skal ikke bruge Windows til noget...

Hvis du ikke skal bruge MS Windows 8 (og hvorfor skulle du dog også det?), så kan du, så vidt jeg forstår, bare slå restricted boot fra i UEFI-indstillingerne, og igen selv blive herre over din dyrt købte computer - og installere og boote de styresystemer der passer dig, uden at de behøver være godkendt af Microsoft på forhånd.

Hvis ikke jeg tager meget fejl, er restricted boot kun et problem, hvis du vil dualboote, eller hvis du rent faktisk ønsker at gøre brug af den "feature" som nogen påstår restricted boot er.

Der har været noget frygt for at restricted boot ikke kan slås fra på alle computere, men det er vist (foreløbig) ikke noget der forekommer.

Martin Schlander

Søgning på edbpriser efter aktuelle maskiner uden styresystemer fra Microsoft eller Apple
http://www.tinyurl.dk/36291

MM-Vision i Roskilde tilbyder også deres Vision-bærbare uden styresystem
http://www.mm-vision.dk/produkter/visgruppe_notebook.asp?action=shop&men...

Det indskrænker selvfølgelig valgmulighederne noget, men det er altså muligt at spare nogle penge, og støtte de få leverandører som giver forbrugerne valgmuligheder.

Jesper Lund

Hvis du ikke skal bruge MS Windows 8 (og hvorfor skulle du dog også det?), så kan du, så vidt jeg forstår, bare slå restricted boot fra i UEFI-indstillingerne, og igen selv blive herre over din dyrt købte computer - og installere og boote de styresystemer der passer dig, uden at de behøver være godkendt af Microsoft på forhånd.

Det er en betingelse for Windows 8 certificering at "Secure Boot" kan slåes fra i BIOS/UEFI opsætning. Derudover er det nødvendigt for at folk kan installere Windows 7 på deres nykøbte "Windows 8" computer, hvilken en del både forbrugere og især virksomheder sikkert vil ønske i de næste par år.

Formentlig er der også mulighed for at vælge et "UEFI legacy mode", der præsenterer sig som den gamle BIOS. Det vil være nødvendigt hvis man ønsker at installere Windows XP, og det er der sikkert også nogle købere som gør. Money talks, og sålænge PC producenterne agerer bare nogenlunde økonomisk rationelt, vil de ønske at tage hensyn til Windows 7 og måske også XP, hvilket bør mindske eventuelle problemer som UEFI og Secure Boot kan skabe for Linux.

Med hensyn til Linux problemer på hardware købt "for nylig", så er det næppe "Secure Boot" relateret jf. dette blogindlæg af Matthew Garrett
http://mjg59.dreamwidth.org/16387.html

Det er ikke nogen nyhed at der er hardware som man ikke kan installere Linux på. Mange laptops kommer for tiden med Nvidia Optimus (seamless skift mellem onboard Intel GPU og diskret Nvidia GPU), som giver en del problemer på Linux. Problemerne med onboard Realtek ethernet kort på Linux synes også at være endeløse hvis man bruger r8169 (de sidder desværre i en masse board, formentlig fordi de er billige). Der er masser af defekt hardware "out there".

Maciej Szeliga

...det er hvis maskinen er sat til "Secure Boot" i UEFI, så vil den kun boote det helt bestemte OS fra Redmond.
Jeg har installeret OpenSuSE på Lenovo ThinkPad W530 uden problemer og også på div. MacBook Pro'er, som har haft UEFI lige siden de hed PowerBook.
Installationen detekterer at det er en UEFI baseret maskine og lægger en boot loader på som kan håndtere det... og laver en UEFI partition (i FAT32) på nogle MB. Brug evt. GPT i stedet msdos så har du plads til flere rigtige partitioner (behøver ikke extended partition).

David Rechnagel Udsen
Svenne Krap

De fleste maskiner skal gerne kunne downgrades til Win7, hvorfor (som også andre har skrevet) det er et krav at SecureBoot kan slåes fra.

Alternativt kan man bruge Shim (http://www.codon.org.uk/~mjg59/shim-signed/).

Når man først er over secureboot, vil de fleste maskiner foruden UEFI også have legacy modulet installeret (dvs. de vil emulere bios). Min lenovo laptop er en UEFI, men booter gammeldags bios uden nogen problemer.

Om et par år hvor Win7 kompatibilitet ikke er interessant for Microsoft, der bliver det rigtigt interessant (men på det tidspunkt er de fleste linux distros nok ved at være ret gode til UEFI/SecureBoot).

Kasper Lund

Hej Peter, og V2.dk

Jeg har fornyligt selv skiftet fra Legacy boot, til udelukkende at boote EFI - og det kan anbefales.

Jeg fulgte anvisninger fra følgende links, og opskriften ser nogen lunde sådan ud, for en der skulle ømske at skifte fra en legacy MBR grub install, til pure efi:

  1. Hent Yannubuntu Ubuntu Secure Remix (Har inkluderet Boot-repair og grub-efi filer). Boot denne.
  2. Opret 200MiB partition i starten af disken, vha. Liveboot og gparted. Flag med Boot.
  3. vha. gdisk converter nu dit partition table til GPT.
  4. formater efi partitionen til fat (mkfs.vfat).
  5. Genstart til Live-Enviromnent igen, for at få opdateret partition table.
  6. Start boot-repair og under "advanced" flyt nu din grub install til efi partition.
  7. Reboot og sæt din maskine til at boote i EFI mode og uden secureboot (der er vist experimental understøttelse for dette og gør kun godt for at man undgår en fin advarsel ved (dual)boot af Win8 og Redhat(?)).

OBS: Hvis du oplever udfordringer med at boote dine liveCD/USB prøv at aktiver Legacy boot, indtil alle ændringer er på plads :)

Foruden en klart forbedret boot-tid, og bedre grub respons (oplevede delay førhen i menuen). Så havde jeg håbet på en bedre strømstyring. Det sidste gjorde sig dog ikke gældende (havde håbet at bl.a. ASPM ville blive understøttet, da det heller ikke virkede i legacy).

Jeg ved desuden ikke om hvordan dette skulle fungere med andre Linux distros - men mon ikke at det meste skulle virke, hvis grub gør ;)

Kilder:
https://help.ubuntu.com/community/UEFI
http://sourceforge.net/p/ubuntu-secured/home/Home/
http://askubuntu.com/questions/84501/how-can-i-change-convert-a-ubuntu-m...

Mvh.

En tilfreds Ubuntu 12.10 bruger, på en Thinkpad X1 Carbon.

Jesper Lund

Det har jeg aldrig hørt dem love. Jeg har kun hørt dem sige, at der er god sandsynlighed for at man kan deaktivere funktionaliteten, men den er aktiveret som standard.

Hvis de vil levere "Windows 8 certificeret" hardware, skal Secure Boot kunne deaktiveres på x86 og x86_64 hardware. Det er et ufravigeligt krav fra Microsofts side.

Så vidt jeg husker skal Secure Boot være aktiveret som standard på Windows 8 certificeret hardware.

Uffe Seerup

Det er underligt, at der ikke er et monopoltilsyn et sted der brokker sig...

UEFI er specificeret af Unified EFI Forum (uefi.org). Secure Boot er ikke en Microsoft specifikation.

For at et system kan få prædikatet "Designed for Windows 8" kræver Microsoft at systemet leveres med UEFI secure boot slået til og mindst Microsofts nøgle præinstalleret i firmware. Desuden kræver Microsoft at ejeren af systemet kan slå secure boot fra.

Der er intet krav fra Microsoft om at der ikke må være flere nøgler installeret. Der er intet krav fra Microsoft om at det ikke må være muligt at installere flere nøgler. Indirekte er der krav om det modsatte fordi Microsoft kræver at systemet lever op til UEFI 2.2 og denne specifikation beskriver at der skal være firmware menu til administration af nøgler.

Leverandører af andre operativsystemer kunne lave aftaler med HW leverandører om inkludering af egne nøgler. Det har de valgt fra fordi det er for stort et arbejde at lave aftaler med alle mulige HW leverandører om initiel distribution og evt. senere spærring/opdatering. Se fx. linket til Red Hats blog post nedenfor. De beskriver hvorfor de har valgt denne løsning fra.

Ingen andre end Microsoft har dermed lavet sådanne aftaler tilsvarende hvad Microsoft får igennem deres Windows 8 Logo program. Dette kunne måske være interessant for konkurrence myndighederne i de forskellige lande, hvis der var tegn på at Microsoft benyttede det til at holde konkurrenter ude.

Imidlertid er der tegn på det modsatte: Microsoft tilbyder at chain-bootload'e andre bootloaders hvis de. Secure Boot boot'er nemlig ikke direkte ind i Windows 8, der er stadig en MS boot loader imellem. Denne boot loader vil acceptere at starte andre OSer eller bootload'ers hvis de er signeret med en MS nøgle. Microsoft tilbyder at signere bootloaders for $99.

Red Hat har valgt denne mulighed og distribuerer en signeret boot loader. Matthew Garret (tidligere Red Hat) har desuden lavet en "generisk" (shim) bootload'er som han også får signeret af MS.

Microsoft accepterer disse andre bootload'ers hvis de er konstrueret på en måde så de ikke kan bruges til at undergrave sikkerheden i Secure Boot. Det betyder fx. at der ikke må boot'es et usikkert OS uden at der er en tydelig brugergrænseflade som gør opmærksom på at der ikke længere startes i Windows. Ellers ville disse alternative boot'loaders stadig kunne bruges til at installere bootkits og boot'e Windows i en virtuel maskine som derefter kan patches udefra af bootkit'et.

Og husk så også på at det stadig er muligt at slå Secure Boot fra. Windows 8 er ligeglad om den boot'es igennem Secure Boot eller ej.

Det er meget svært at se en monopolsag.

Læs i øvrigt denne: http://dk.redhat.com/about/news/archive/2012/6/uefi-secure-boot

Red Hat ser ikke himlen falde. Faktisk erkender de at det giver øget sikkerhed og anbefaler deres kunder at benytte Secure Boot.

Secure Boot i Fedora 18 beskytter OSes på samme måde som Windows 8 (Linux beskyttelsen er vistnok lidt svagere fordi det ikke er alle filtyper der kan beskyttes af signatur hvor Windows siden Vista har understøttet at der udelukkende boot'es fra signerede arkivfiler hvor både eksekverbare filer, scripts, konfiguration mm. er beskyttet).

Adam Sjøgren

Matthew Garrett har skrevet en del om UEFI og Secure Boot: http://mjg59.dreamwidth.org/

Dell har for nylig blæret sig med at have lavet en bærbar specielt til udviklere der foretrækker Ubuntu: http://content.dell.com/us/en/enterprise/d/campaigns/xps-linux-laptop

Desværre har den lav skærmopløsning (1366x768) – det kunne være rart at kunne "stemme med pengepungen" (egen eller firmaets) og vise Dell, og andre, at vi gerne vil have flere af den slags muligheder.

Om man kan få lov til at købe den uden for amerika er vist også et åbent spørgmål?

Hans Schou

Jeg har skrevet til kfst.dk og talt med dem om UEFI.

Hvis nogen kan fremvise en computer hvor UEFI ikke kan slås fra, og den computer kører en Intel-lignende CPU, så vil de meget gerne se på det. Det vil de fordi Microsoft har en dominerende stilling på de platform.

Hvis det der i mod drejer sig om ARM, hvor Microsoft ikke har en dominerende stilling, så er det tvivlsomt om der kan gribes ind.

Hvis der kan gribes ind, og der er substans i sagen, så vil sagen næsten øjeblikkeligt blive eskaleret til EU.

Men indtil videre ser det ud til at UEFI altid ville kunne slås fra under boot.

martin nyhjem

Lidt info fra https://fedoraproject.org/wiki/Secureboot.
Det virker som om folk ikke helt ved hvad secure boot er, og derfor bliver meget bange for det..?
Secure boot virker fint med andre styresystemer, det kræver blot at OS'et er signed, og at nøglen er gemt på bundkortet. Du kan selv ligge nye nøgler ind hvis du vil, og også slette de eksisterende.

"Secure boot is a setup using UEFI firmware to check cryptographic signatures on the bootloader and associated OS kernel to ensure they have not been tampered with or bypassed in the boot process."

"Maintainers of the grub2, kernel and associated packages have proposed a plan where by Fedora will have Verisign (via Microsoft) sign a bootloader shim that will in turn boot grub2 (signed by a Fedora key) and the Fedora kernel (signed by a Fedora key) to allow out of the box booting on secure boot enabled hardware. Additionally, they will provide tools and information for users to create their own keys and sign their own copy of boot shim and grub2 and kernel (and whatever else they wish to sign). This plan has been approved by the Fedora Engineering Steering Committee as of 23-Jul-2012."

"
Q: Are you sure secure boot will be possible to disable in the firmware?
A: Yes, the Microsoft Windows 8 ready requirements require that to be the case.
...
Q: Can I remove the Microsoft key and use my own?
A: YES. According to the UEFI and Microsoft Windows 8 ready requirements you can remove all the keys and enroll your own. A Fedora Feature is being worked on to easily allow you to do this.
"

Sune Marcher

Præcis. Du kan ikke kompilere dit eget OS uden at skulle poste penge i en nøgle. Dét er et problem!

Det kan du da sagtens - du bruger bare Matthew Garrett's shim loader. At du så ikke kan recompile shim'en uden at poste penge i en nøgle er en anden sag.

Derudover er der delen med "YES. According to the UEFI and Microsoft Windows 8 ready requirements you can remove all the keys and enroll your own." - jeg har dog ikke haft fingrene i et Win8-SecureBoot system endnu, så kan ikke udelukke at der er sløsede OEMs der ikke har fået tilføjet key management features :)

Sune Marcher

Og det ER problemet!

Et ideologisk problem - jeg ser ikke det helt store problem i praksis. Hvor mange systemer kører f.eks. med komplet opensource BIOS? firmware?

(Ja, det ville være dejligt hvis alt var opensource, det er jeg ikke uenig i - jeg forholder mig her pragmatisk til hvad der er af real-life konsekvenser)

Jesper Stein Sandal

Jeg testede lige på en Samsung Series 9, vi har haft til test. Man kan snildt slå Secure Boot fra, hvis man gætter den rigtige F-tast, der skal til for at komme ind i UEFI/BIOS. Jeg kunne dog ikke få den til at boote Ubuntu fra en USB-stick, men jeg havde heller ikke tid til at lege mere med indstillingerne (og det var en gammel Ubuntu, fandt jeg ud af).

Sune Marcher

Jesper, var der mulighed i UEFI'en for at tilføje/ændre signing keys, eller kun mulighed for at slå secure-boot fra?

Also, mht. boot af USB-sticks har jeg på nyere (stationære) maskiner været ude for at BIOS'en kun understøtter boot fra nogle af portene - tror det var noget med at USB3 ikke var boot-supportet.

Sune Marcher

Jeg opdatered BIOS på min workstation i går (ASUS P8Z77-V Pro motherboard), og var i den anledning inde og kigge lidt rundt i BIOSen (hov, sorry, UEFIen :p).

Under Secure Boot har jeg mulighed for at clear og adde keys til PK, KEK, DB og DBX - så i hvert fald med den UEFI implementation er der ikke grund til panik over Secure Boot.

Spørgsmålet er så om det samme gælder for færdigbyggede systemer med Secure boot og Win8 - de fleste laptops jeg har stødt på har generelt haft ret begrænsede BIOS-indstillingsmuligheder, så det er ikke givent at der er key management features udover at kunne slå SB helt fra?

Log ind eller opret en konto for at skrive kommentarer

IT Businesses